ESS: Efecte Identity Management Connector
ESS: Efecte Identity Management Connector
Om detta dokument
Det här dokumentet syftar till att ge insikt i konfigurationen av Efecte Self-Service Efecte Identity-anslutningen, hur Efecte Self-Service använder data den hämtar från Efecte Identity Management och på vilka sätt slutanvändare kan uppdatera sina data mot Efecte Identity Management.
Den här artikeln beskriver hur Efecte Identity Management Connector beter sig i ESS version 2022.3 eller senare.
Notera
Från och med Efecte Self-Service version 2018.3.0 krävs Efecte Identity Management version 2018.3.1 eller senare på grund av ändringar i den introducerade kopplingen.
Efecte Identity Management-anslutning
Denna koppling hanterar integration med Efecte Identity Management-systemet (hädanefter kallat EIM eller Efecte Identity). Konfigurationen för kopplingen lagras i filen /etc/integration-hub/tenant-configs/<tenant_name >/connector-idm.xml . Ändringar i konfigurationen kräver att hyresgästen laddas om genom att kommandot "integration-hub-tenant reload <tenant_name>" körs.
En gemensam del av konfigurationen (som används av olika begrepp för denna kontakt) är EIM-anslutningsegenskaper i bean med id ="idmRemoteConfiguration" .
Parameter |
Beskrivning |
kontotyp |
kontotyp för den tekniska användaren för ESS i Efecte Identity |
användarnamn |
användarnamn för den tekniska användaren för ESS i Efecte Identity |
lösenord |
lösenord för den tekniska användaren för ESS i Efecte Identity |
värd |
Efecte Identity-värd (namn eller IP) |
hamn |
Efecte Identity-värdport för fjärranrop, som standard lyssnar JBoss på port 4447 |
ssl-aktiverad |
om krypterad SSL-anslutning kommer att användas mellan ESS och EIM |
anropstidsgräns |
En timeout i millisekunder för EIM:s EJB-anropsförfrågan/svarscykel, dvs. metodanrop. Standardvärdet är 30000. |
För att kunna använda SSL-krypterad anslutning (förutom att aktivera flaggan 'sslEnabled') krävs även certifikatkonfiguration. EIM-administratören bör förse dig med en lämplig konfiguration som även stöds på EIM-sidan. För att importera certifikat till den lokala nyckellagren vid problem med integrationshubben:
yes yes | keytool -importcert -file "idm-remoting.crt" -alias "idm-remoting.crt" -keystore /etc/pki/java/cacerts -storepass changeitAnvänd ditt eget certifikatfilnamn och lösenord för nyckellagring.
Organisationskoppling
När den är korrekt konfigurerad kan identitetskopplingen användas som källa för organisationsdata och ersätter därmed LDAP-kopplingen.
Organisationsinformation hanteras av bean id="idmOrganizationInfoHandler" som innehåller följande parametrar:
Parameter |
Beskrivning |
efecteIdentityFacade |
instans av konfigurerad böna av typen com.efecte.integration.connector.idm.EfecteIdentityFacade (se nedan) |
sökgräns |
maximalt antal användare som hämtas från Efecte Identity samtidigt |
användarfilter |
en uppsättning filter som definierar vilka användare som importeras från Efecte Identity. Ett filter kan t.ex. vara "cn=Users,dc=host,dc=domain,dc=com". Kan innehålla flera filter i flera <value>-taggar. Om webbplatsinställningarna i ESS-administratörsvyn är tomma, väljer ESS listan över aktiva organisationsenheter från userFilter-listan. |
Exempelkonfiguration:
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
<property name="efecteIdentityFacade" ref="efecteIdentityFacade"/>
<property name="searchLimit" value="500"/>
<property name="userFilter">
<set>
<value>cn=Users,dc=host,dc=domain,dc=com</value>
</set>
</property>
</bean>Kommunikationen mellan Efecte Identity Management och connectorn hanteras av bean id="efecteIdentityFacade" med följande parametrar:
Parameter |
Beskrivning |
kontotypmetodnamn |
uppsättning kontotypmetoder för kontona för användarna som importerats från Efecte Identity Management |
tjänsteavtalsnamn |
uppsättning serviceavtal för användare importerade från Efecte Identity |
rollTypnamn |
uppsättning roller importerade från Efecte Identity inom organisationsdata |
För egenskaperna accountTypeMethodNames , roleTypeNames och/eller serviceAgreementNames lägger man till ytterligare värdetaggar i efecteIdentityFacade .
Notera
Alla namn på serviceavtal som definieras i kopplingen måste finnas i Efecte Identity Management, annars kommer hämtningen av organisationsdata att misslyckas.
efecteIdentityFacade
<bean id="efecteIdentityFacade" class="com.efecte.integration.connector.idm.EfecteIdentityFacade">
<constructor-arg ref="idmRemoteConfiguration"/>
<property name="accountTypeMethodNames">
<set>
<value>AD Password</value>
<value>Some Other Password</value>
</set>
</property>
<property name="serviceAgreementNames">
<set>
<value>Customer - AD users</value>
</set>
</property>
<property name="roleTypeNames">
<set>
<value>AD group</value>
</set>
</property>
</bean>Hämtningsprestanda
Prestandastatistik kan aktiveras för att ge en mer detaljerad bild av exekveringsflödet. För att göra det, konfigurera metrics-tjänsten i connector configuration xml:
<!-- Performance Metrics -->
<bean class="com.efecte.integration.util.Metrics" id="metrics" init-method="init" destroy-method="destroy">
<property name="metricsEnabled" value="true"/>
<property name="metricsLogName" value="Metrics"/>
<property name="metricsLogMarker" value="METRICS"/>
<property name="reportTimeUnit" value="MINUTES"/>
<property name="reportPeriod" value="1"/>
</bean>
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
... existing configuration ...
<property name="metrics" ref="metrics"/>
</bean>och konfigurera lämplig logger i log4j.xml-filen:
<appender name="agent-stats" class="org.apache.log4j.RollingFileAppender">
<!-- The active file to log to -->
<param name="file" value="/var/log/integration-agent/agent-stats.log"/>
<param name="append" value="true"/>
<param name="encoding" value="UTF-8"/>
<param name="MaxFileSize" value="100MB"/>
<param name="MaxBackupIndex" value="10"/>
<layout class="org.apache.log4j.PatternLayout">
<param name="ConversionPattern" value="%c{1}|%p|%d|%t|%X{hostName}|%m%n"/>
</layout>
</appender>
<!-- Application performance metrics -->
<logger name="Metrics">
<level value="info"/>
<appender-ref ref="agent-stats"/>
</logger>Data från Efecte Identity Management
Följande är de viktigaste datafälten för en användare (en agent) i EIM som ESS använder vid hämtande och skrivning av data.
EIM-attribut |
Definition |
ESS-användning |
Namn |
Obligatorisk , unik Agentens unika namn |
Identifierar användare unikt från varandra. Om det finns två agenter med exakt samma namn kommer organisationsdata att hämtas med fel och saknade användare. |
E-post |
Obligatorisk, unik agentens e-postadress |
ESS förlitar sig på agentens e-postadress för kommunikation med ESM och för e-postmeddelanden. ESS kan endast använda den primära e-postadressen, inga andra e-postadresser kan användas. Används dessutom i visitkortsform. |
Visningsnamn |
Frivillig |
Visas för användaren som användarens namn. Visningsnamnet används t.ex. med kommentarsfunktioner och i visitkortsformat. |
Efternamn |
Frivillig | Används i visitkortsformat och kommentarsfunktion tillsammans med förnamn; om båda saknas används visningsnamn. |
Förnamn |
Frivillig |
Används i visitkortsformat och kommentarsfunktion tillsammans med förnamn; om båda saknas används visningsnamn. |
Konto |
Obligatorisk |
Kontoanvändarnamnet används tillsammans med domänkomponenter (DC) för att bilda ett autentiserings-ID som används för att koppla ärenden och förfrågningar till användare. Detta autentiserings-ID visas för användaren när visningsnamnet inte är definierat ( account@dc.dc2.dc3 ) eller om användaren saknas i organisationsdata. Om det finns agenter utan definierat konto hämtar ESS inte dessa användare till organisationens cache. Obs! Autentiserings-ID:t är nyckeln för att associera användare med förfrågningar i ESS. Ändringar av någon av komponenterna resulterar i att förfrågningshistoriken inte visas och användaren hanteras som en ny användare. Om konto-ID:t, och därmed autentiserings-ID:t, ändras, visas inte gamla ärenden och godkännandeförfrågningar för användaren. Konto-ID:t är skiftlägeskänsligt. |
Kostnadsställe |
Frivillig |
Om en användare är kopplad till ett kostnadsställe används detta kostnadsställe som standard vid förfrågningar. Om inga kostnadsställen returneras till ESS visas inte valet av kostnadsställe på bekräftelsesidan. Kostnadsställe används även av medarbetarformuläret. |
Handledare |
Frivillig | Om användaren har en giltig handledare angiven, väljs namnet på den överordnade automatiskt för agenten i fall där godkännande krävs. I medarbetarformuläret används också en lista över handledare. |
Suppleanter |
Frivillig |
Används för godkännandedelegeringar. Användare med underordnade, dedikerade godkännare och delegerade godkännare har detta alternativ synligt. Detta kan ställas in för alla användare i EIM, och vid hämtning av organisationsdata blir detta synligt för användaren. |
mobil |
Frivillig, används för lösenordsåterställning |
Används för lösenordsåterställning. Om användaren har ett mobilnummer angivet visas det i slutanvändarvyn. Om inget mobilnummer har definierats kan slutanvändaren ange sitt eget mobiltelefonnummer, vilket omedelbart uppdateras till EIM. |
agent.customString13 |
Frivillig, används för lösenordsåterställning |
Detta används för att överföra information om sekundär e-postadress från ESM till EIM och tillbaka. Mappas inte automatiskt till Agent konto "E-postadress för lösenordsåterställning" |
gatuadress |
Frivillig |
Detta används i visitkortsformuläret, kombinerat med postnummer, stad och land i fältet Gatuadress |
postnummer |
Frivillig |
Detta används i visitkortsformuläret, kombinerat med postnummer, stad och land i fältet Gatuadress |
stad |
Frivillig |
Detta används i visitkortsformuläret, kombinerat med postnummer, stad och land i fältet Gatuadress |
land |
Frivillig |
Detta används i visitkortsformuläret, kombinerat med postnummer, stad och land i fältet Gatuadress |
Efecte självbetjäningskonfiguration
För att välja Efecte Identity-anslutningen som organisationsanslutning, konfigurera den på Integration Suite-sidan och öppna sedan administratörssidan för Efecte Self Service, välj Integrationer -> Organisation -> Organisationsanslutning.
Innan du byter anslutningsenhet, ändra administratörsgrupper enligt nya organisationsdata. Detta kan utföras på två sätt:
- i administratörsgränssnittet, fliken "Inställningar": "Administratörernas AD " och "Tjänstägarens AD "
- i webshop.properties filparameter ldap.administrator.group (observera att inställningar från databasen kommer först)
Från rullgardinsmenyn "Organisationsanslutning" väljer du sedan Efecte Identity-anslutning (om den inte är inställd som standard). Tänk på att organisationens cache rensas efter detta och om användaren inte är inloggad som global administratör kan hen loggas ut. Logga in igen om det behövs och klicka på knappen "Visa testdata" för att kontrollera organisationsinformationen.
Notera
Det rekommenderas starkt att inte installera mer än en organisationskoppling för en hyresgäst.
Efecte Identity som organisationsdataanslutning för global administratör
För att använda Efecte Identity Management-systemet som organisationsdataleverantör för global administratör, konfigurera följande i filen /etc/webshop/webshop.properties (ESS-maskin):
- globaladmin.organization.connector.type = com.efecte.integration.connector.idm.IdMConnector
- globaladmin.organization.connector.instanceName = standardeffektidentitet
och starta om ESS. För att användare ska ha åtkomst till globaladmin måste de dessutom tillhöra AD gruppen som definierats i webshop.properties som global administratörsgrupp.
Mina tjänster
Identitetskopplingen kan fungera som datakälla för fälten Mina tjänster
Mina tjänster är ett vanligt namn för en uppsättning integrationsmekanismer som gör det möjligt för externa system att dynamiskt ändra innehållet i en katalog som är synlig för användare.
Definiera MinaTjänster-fält
- Gå till ESS administratörssida -> Integrationer -> Externa datafält -> Externa datafält
- Tryck på knappen Lägg till MinaTjänster i fältet
- Ange konfiguration
- Fältnamn – ange ett namn som ska användas som alias för detta MinaTjänster-fält
- Data från – välj Efecte Identity-anslutning
- Tjänst från Efecte Identity mappad till fältet MinaTjänster (Logga in på Efecte Identity -> Administration -> Tjänster -> Tjänstnamn)
- Datalist-ID - detta värde ska vara samma som namnet på tjänsten
- Tryck på knappen Uppdatera – om det inte finns några fel ser du namnen på 'Roller' i fältelementtabellen i MinaTjänster som definierats i Efecte Identity för tjänsten (markera 'Roller' på vald tjänst)
Efecte Identity-anslutningen ansvarar inte bara för synkronisering av element, utan även för att spåra kopplingar mellan element och användare.
Min tjänstekatalog och erbjudande
Använda MyService-posten som källa för serviceartikel-ID:n
- På administratörssidan, fliken Tjänster, öppna en tjänst och välj Tjänsteobjekt
- I objektegenskaperna öppnar du rullgardinsmenyn "Extern datalänk" och väljer namnet på fältet MinaTjänster som du vill använda.
- Från rullgardinsmenyn 'Artikel-ID' väljer du det element som ska användas som Artikel-ID vid beställning.
ID för valt element kommer att användas som artikel-ID när användare gör beställningar för den givna artikeln.
Kopplingar mellan användare och datakort
Connector ansvarar inte bara för att hämta information från identitetstjänsten, utan även för:
- spåra kopplingar mellan identitetstjänster och användare ( Agent )
- ändra nämnda associationer
För att använda den här funktionen:
- På administratörssidan, öppna Tjänst och välj Tjänstobjekt
- I egenskaperna för tjänsteobjektet öppnar du rullgardinsmenyn "Länk till mina tjänster" och väljer namnet på fältet Mina tjänster.
- Från rullgardinsmenyn Underobjekt väljer du:
- Användare som använder – i det här fallet kommer användaren att visas en lista över tjänster de är kopplade till
- Användare använder inte – i detta fall kommer användaren att visas en lista över tjänster som de inte är kopplade till
Att skicka en beställning för en serviceartikel kommer att resultera i
- Tar bort
- Lägger till
koppling mellan användaren ( Agent ) som gör beställningen och Efecte Identity Service.